コラムCOLUMN

PPAP問題について

コラム

2020年11月に平井デジタル改革担当大臣が内閣府と内閣官房でのPPAP廃止を発表しました。

PPAP問題とは、ファイルをメール添付で送信する際に利用される暗号化Zipに関連する問題のことをいいます。 コロナ禍でセキュリティの重要性が高まる中、PPAP廃止の流れは、官庁だけではなく民間にも普及していく流れになるのではないでしょうか。

PPAPとはなにか

PPAPとは、パスワード付きでZip暗号化したファイルを送付するプロセスの頭文字からなる造語です。

P:Password付きZip暗号化ファイルの送付

P:Passwordの送付

A:暗号化(Angoka)

P:プロトコル(Protocol)

なぜこんなに日本社会に広まったのか

世界的にみて、日本ではPPAPの手法は官民問わずにかなり広く利用されています。
その要因として、大きく2つがあると考えられます。

①誤送信対策のため

過去、IPA(情報処理推進機構)では簡単にできる誤送信対策としてPPAPが有用な対策であると発表していたことがありました。
実際に2012年に公表した「電子メール利用時の危険対策のしおり」の中で手軽に実施可能な対策としてZipフォルダをパスワード保護する方法(Zip暗号化)の記載があります。
パスワードがわからなければ復号ができないため、誤送信をしてしまった場合の防衛策として有効ですが、リスクヘッジとしては極めて限定的です。

②認証機関の審査通過のため

2005年(平成17年)に個人情報保護法が全面施行となり、自社の情報セキュリティについて外部審査(プライバシーマークの取得やISMS認証)を受けるブームが生まれました。自社の情報セキュリティ対策について、いわば専門機関からのお墨付きがもらえたという証になり、多くの企業が認証取得をしています。

さらに、昨今ではサプライチェーン全体のセキュリティ強化を目的として、取引先企業に対し「プライバシーマークまたはISMS認証を取得しているか」等のチェック項目を設けている企業もあります。

しかし、外部認証機関では「機密情報を含むファイルをメールで送信する際は、パスワードをかけたうえでパスワードは別送する」というルールが無いと審査が通りにくいという実態がありました。

そのため、パスワード・暗号化・別送というキーワードだけが、まだ情報に対するリテラシーの高くない時代に一人歩きした結果、PPAPが広く使われるようになったのではないでしょうか。

PPAPの危険性

パスワード付きファイルをメールに添付し、ファイルとパスワードをそれぞれ別メールで送るPPAPの危険性はどこにあるのでしょうか。
大きく2つあると考えています。

①経路

ファイルとパスワードを伝える経路が同一の場合、盗聴時の対策としては意味がありません。
別メールではなく、「別経路」でパスワードを伝える必要があります。
例えば、メールにファイルを添付する場合、パスワードは電話やSNS、郵送等の別経路で伝えることで盗聴のリスク対策ができます。

②セキュリティ製品のすり抜け

費用をかけて多段階にセキュリティ対策(多層防御)を実施していても、暗号化されたパスワード付きのZipファイルは解凍されずにそのままセキュリティスキャンを回避してしまうため、受信時にマルウェアが混入していてもすり抜けてしまいます。
その穴を狙った攻撃手法がすでに観測されており、IPAは2020年9月にパスワード付きZipを用いた「Emotet」に対する注意喚起を促しています。

このようなリスクを回避するために、パスワード付きZip暗号化(PPAP)は廃止し、安全に情報のやり取りができる方法の検討や代替えが社会全体で始まっています。

PPAP廃止の対策・代替案

PPAPを廃止する際の対策・代替案について、セキュリティアとして考えてみました。

■クラウドストレージの利用

ファイルの共有をメールに添付する方法ではなく、クラウドストレージ上にファイルを保存することで共有する方法です。
この方法を利用することで、アクセス権や有効期限等の詳細な設定ができ、安全にファイルを共有することが可能になります。

弊社取り扱い対応製品:メールdeファイル ※製品ページ作成中

■別経路でのパスワードの受け渡し

メールで添付ファイルを送信する場合、パスワードを電話やSMS、チャット等の別経路で伝えることで盗聴のリスクが下がります。
手軽な方法ではありますが、この方法ではZip暗号化に混入しているマルウェアのすり抜け対策はできません。
従業員への教育・訓練、クライアントPC側に追加のセキュリティ対策を実施するなど別の検討が必要になります。

■社内・組織ルールの見直し

すでにある社内・組織ルールにPPAPを推奨するルールがあるかを確認し、ある場合には新たな対策・代替案を考慮する必要があります。
ルールやポリシーは時代や企業・組織のおかれている状況等により変化していくため、定期的な見直しが必要です。

取り扱いサービス:CISO羅針盤

セキュリティアはサイバー脅威に対応する企業・組織を全面的に応援します!

カテゴリー

最新記事